Des utilisateurs de la plateforme de « swap » Multichain se sont fait voler au total plus de 3 millions de dollars. Les pirates ont profité d’une faille de sécurité non résolue concernant 6 tokens, apparue le 17 janvier.
3 millions de dollars : c’est la somme que des pirates sont parvenus à obtenir en tirant profit d’une faille critique du protocole « cross-chain » Multichain. Son existence avait été révélée le 17 janvier dans un article publié sur Medium. Multichain avait alors appélé ses utilisateurs à annuler les autorisations accordées pour 6 tokens afin de protéger leurs actifs.
Mais cette annonce pourrait avoir encouragé un plus grand nombre de pirates à tenter de tirer profit de cette faille. L’un d’entre eux a dérobé l’équivalent de 1,43 million de dollars, tandis qu’un autre à proposé de rendre 80% des sommes qu’il avait dérobées.
Selon Tal Be’ery, le cofondateur du wallet ZenGo, plus de 3 millions de dollars ont été subtilisés en l’espace de quelques jours :
The @MultichainOrg hack is far from being over.
Over the last hours more than additional $1M stolen, rising the total stolen amount to $3M.
One victim lost $960K !https://t.co/fYhYxUojB8 pic.twitter.com/Gvh5hB6t6s— Tal Be’ery (@TalBeerySec) January 19, 2022
Les six tokens concernés (WETH, PERI, OMT, WBNB, MATIC, AVAX) seraient toujours sujets à cette vulnérabilité.
Sur Twitter, de nombreux internautes ont reproché à Multichain de ne pas avoir offert suffisamment d’informations ou d’aide. Un utilisateur ayant perdu 960 000 dollars d’actifs a proposé 50 ETHs (environ 150 000 dollars) à son hacker pour récupérer ses fonds :
The $1M victim is now offering 50 ETH ($150K) « tip » for the « White hat » in return for his funds.https://t.co/EWgag6GR9k pic.twitter.com/QhcDmTotw2
— Tal Be’ery (@TalBeerySec) January 19, 2022
Le 17 janvier, la société avait indiqué que la faille critique avait été résolue le même jour. Pourtant, le 19 janvier, elle avait à nouveau demandé à ses utilisateurs d’annuler leurs autorisations pour les tokens concernés par cette faille. Multichain a depuis bloqué les commentaires sur ses derniers tweets.
Sur Twitter, l’utilisateur « ChainLinkGod » a confié qu’il était « incroyablement confus » vis-à-vis de la communication de la plateforme, tandis que « drarreg17 » a demandé à Multichain ce qu’elle comptait faire afin de « compenser les pertes des utilisateurs qui ont été affectés par l’exploitation de cette faille ».
I can’t be the only one who’s incredibly confused by @MultichainOrg’s messaging here
Schrodinger‘s funds, both safe and unsafe at the same time pic.twitter.com/AW8s8aAhHk
— ChainLinkGod.eth 2.0 (@ChainLinkGod) January 19, 2022
Selon Tal Be’ery, la société aurait contacté le propriétaire de l’adresse qui détient plus de 450 ETH (environ 1,4 million de dollars) de fonds dérobés depuis le 19 janvier, lui proposant un « bug bounty » – ou plutôt une rançon :
Seems like @MultichainOrg reached out to the attackers offering them « bounty » (or in other words, actually paying ransom)https://t.co/DzUGUF3vX0 https://t.co/iKLh0HCBXG pic.twitter.com/yC3QEeiZhJ
— Tal Be’ery (@TalBeerySec) January 18, 2022
Multichain (anciennement appelée Anyswap) ambitionne de devenir la plateforme de référence du Web 3.0. L’écosystème permet d’effectuer des « swaps » de tokens entre 30 blockchains, comme celles du Bitcoin, d’Ethereum, de Terra ou encore de Fantom.
Impossible de savoir pour l’instant si la plateforme – qui revendique 9 milliards de dollars de valeur placée (TVL) – compte dédommager ses utilisateurs lésés.